IOC_Adwind_100518
Доброго вечора, панове.
Вчора була зафіксована розсилка шкідливого коду типу #Adwind (RAT).
Ми вже кілька разів розбирали його різні варіації.
#Adwind застосовується для збору інформації та віддаленого керування інфікованими системами.
Рівень загрози, для організацій котрі використовують JRE та альтернативні поштові клієнти* чи WebMail, – високий.
А для тих, хто уважно читає наші поради – низький.
Трохи аналітики:
- Сервер розсилки імітує домен Інституту зварювання ім. Патона
- (!) актуальні версії MS Outlook по замовчуванню блокують доступ до приєднань цього типу
- #Adwind не створює нових запускних файлів крім копії модулів JRE
- Активно використовує WSH та WMI
- Не потребує прав Адміністратора
- Може бути каналом доставки іншого malware
- Цього разу Jar без обгортки
Схема атаки:
email > Attach (jar) > javaw.exe > java.exe > cscript.exe> WMIC.exe > data exfiltration
Маркери IOC:
Основна частина:
SHA-256 8dd7c604013ca7bdabba34ab04291a85ffb9846063de0efb17f8bf2d0a7e04e8 File name uba.qrypted.jar (18ZJ127 INV (2).jar) File size 769.07 KB
Мережеві IOC:
Трафік інфікованої системи:
java.exe 1284 TCP 127.0.0.1 49794 127.0.0.1 7777 SYN_SENT javaw.exe 840 TCP 10.0.2.15 49754 185.227.83.51 5030 ESTABLISHED
java.exe 1284 TCP APM11 49796 localhost 7777 SYN_SENT javaw.exe 840 TCP apm11 49754 51.83.227.185.gerber.non-logging.vpn 5030 ESTABLISHED
Активність по процесам:
Коли жертва відкриває JAR файл, відбувається обробка інструкцій і закріплення бекдору:
"C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE" /f "C:\Users\operator\Desktop\RE New Order # 014563.msg" "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Temporary Internet Files\Content.Outlook\RBXHTDD1\18ZJ127 INV (2).jar" "C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.96591224716123398063543837287709600.class "cmd.exe" /C cscript.exe C:\tmp\Retrive1028621641851654372.vbs cscript.exe C:\tmp\Retrive1028621641851654372.vbs "cmd.exe" /C cscript.exe C:\tmp\Retrive1863584818779134903.vbs cscript.exe C:\tmp\Retrive1863584818779134903.vbs "xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e "cmd.exe" /C cscript.exe C:\tmp\Retrive7838850603346017630.vbs cscript.exe C:\tmp\Retrive7838850603346017630.vbs "cmd.exe" /C cscript.exe C:\tmp\Retrive1695544840638860067.vbs cscript.exe C:\tmp\Retrive1695544840638860067.vbs "xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e
Таким чином, файли інтерпретатора Java копіюються із \Program Files у каталог профіля користувача.
Після цього проходить закріплення через HKU\Current Version\Run
(!) Зверніть увагу – до списку автозавантаження додається легітимний процес JRE, шкідливі команди передаються параметром:
"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OQZJaDzMiFp /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA\"" /f
Щоб приховати сліди, Adwind змінює атрибути робочого каталогу:
"attrib" +h "C:\Users\operator\DUsCXQFVGan\*.*" "attrib" +h "C:\Users\operator\DUsCXQFVGan"
Після закріплення розпочинається збір інформації:
"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA "C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.72519027776652135739829391954449646.class "cmd.exe" /C cscript.exe C:\tmp\Retrive1356326019894555462.vbs cscript.exe C:\tmp\Retrive1356326019894555462.vbs "cmd.exe" /C cscript.exe C:\tmp\Retrive4827650205509862735.vbs cscript.exe C:\tmp\Retrive4827650205509862735.vbs "cmd.exe" /C cscript.exe C:\tmp\Retrive5797923481866821519.vbs cscript.exe C:\tmp\Retrive5797923481866821519.vbs "cmd.exe" /C cscript.exe C:\tmp\Retrive5311907378487770237.vbs cscript.exe C:\tmp\Retrive5311907378487770237.vbs "WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
Контрзаходи:
- Перевірка журналів мережевого обладнання на наявність з’єднань із С2
- Видалення JRE там, де він не є необхідним по роботі
- Заборона створення/запису .jar файлів у каталозі користувача
- Блокування доставки файлів типу JAR на рівні Web та Email шлюзів
- Заборона створення/зчитування vbs файлів або ж повна деактивація механізму WSH
- Заборонити процесу javaw зчитувати файли з каталогу користувача
- Суворий контроль переліку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
- Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
- Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
- Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
- Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії
Будьте уважні та обережні!
VR
Trackbacks / Pingbacks